在 Microsoft Intune 中管理用户和组标识
管理和保护用户标识是任何终结点管理策略和解决方案的重要组成部分。 标识管理包括访问组织资源的用户帐户和组。
管理员必须管理帐户成员身份、授权和验证对资源的访问权限、管理影响用户标识的设置,以及保护 & 保护标识免受恶意意图的影响。
Microsoft Intune 可以执行所有这些任务等。 Intune 是一项基于云的服务,可以通过策略(包括安全和身份验证策略)管理用户标识。 有关 Intune 及其优势的详细信息,请转到 Intune Microsoft是什么?。
从服务的角度来看,Intune 使用 Microsoft Entra ID 进行标识存储和权限。 使用 Microsoft Intune 管理中心,可以在专为终结点管理设计的中心位置管理这些任务。
本文讨论管理标识时应考虑的概念和功能。
使用现有用户和组
管理终结点的很大一部分是管理用户和组。 如果已有用户和组,或者将创建新的用户和组,Intune 可以提供帮助。
在本地环境中,用户帐户和组在本地 Active Directory 中创建和管理。 可以使用域中的任何域控制器更新这些用户和组。
Intune 中的概念类似。
Intune 管理中心包含用于管理用户和组的中心位置。 管理中心是基于 Web 的,可从具有 Internet 连接的任何设备进行访问。 管理员只需使用其 Intune 管理员帐户登录到管理中心。
一项重要决策是确定如何将用户帐户和组放入 Intune。 选项包括:
如果 当前使用 Microsoft 365 ,并且用户和组位于 Microsoft 365 管理中心,则 Intune 管理中心中也提供这些用户和组。
Microsoft Entra ID 和 Intune 使用“租户”,即你的组织,例如 Contoso 或 Microsoft。 如果有多个租户,请在与现有用户和组相同的 Microsoft 365 租户中登录到 Intune 管理中心。 用户和组将自动显示并可用。
有关租户的详细信息,请转到 快速入门:设置租户。
如果 当前使用本地 Active Directory,则可以使用 Microsoft Entra Connect 将本地 AD 帐户同步到Microsoft Entra ID。 当这些帐户位于 Microsoft Entra ID 中时,它们也可以在 Intune 管理中心中使用。
有关更具体的信息,请转到 什么是Microsoft Entra Connect Sync?。
还可以将 现有用户和组 从 CSV 文件导入 Intune 管理中心,或从头开始创建用户和组。 添加组时,可以将用户和设备添加到这些组,以便按位置、部门、硬件等对其进行组织。
有关 Intune 中的组管理的详细信息,请转到 添加组以组织用户和设备。
默认情况下,Intune 会自动创建 “所有用户 ”和 “所有设备 ”组。 当用户和组可供 Intune 使用时,可以将策略分配给这些用户和组。
从计算机帐户移动
当 Windows 终结点 (如 Windows 10/11 设备) 加入本地 Active Directory (AD) 域时,将自动创建计算机帐户。 计算机/计算机帐户可用于对本地程序、服务和应用进行身份验证。
这些计算机帐户是本地环境的本地帐户,不能在已加入到 entra ID Microsoft设备上使用。 在这种情况下,需要切换到基于用户的身份验证,以便对本地程序、服务和应用进行身份验证。
有关详细信息和指导,请转到 云原生终结点的已知问题和限制。
角色和权限控制访问权限
对于不同的管理员类型任务,Intune 使用基于角色的访问控制 (RBAC) 。 分配的角色决定了管理员可以在 Intune 管理中心中访问的资源,以及他们可以对这些资源执行的操作。 有一些内置角色侧重于终结点管理,例如应用程序管理器、策略和配置文件管理器等。
由于 Intune 使用 Microsoft Entra ID,你还有权访问内置Microsoft Entra 角色,例如 Intune 服务管理员。
每个角色都有自己的创建、读取、更新或删除权限(根据需要)。 如果管理员需要特定权限,还可以创建自定义角色。 添加或创建管理员类型的用户和组时,可以将这些帐户分配给不同的角色。 Intune 管理中心将此信息存储在中心位置,并且可以轻松更新。
有关详细信息,请转到 使用 Microsoft Intune (RBAC) 的基于角色的访问控制
在设备注册时创建用户相关性
当用户首次登录其设备时,设备将与该用户关联。 此功能称为用户相关性。
分配给用户标识或部署到用户标识的任何策略都会随用户一起转到其所有设备。 当用户与设备关联时,他们可以访问其电子邮件帐户、文件、应用等。
如果未将用户与设备关联,则设备被视为无用户。 对于专用于特定任务的展台设备和与多个用户共享的设备,此方案很常见。
在 Intune 中,可以为 Android、iOS/iPadOS、macOS 和 Windows 上的这两种方案创建策略。 准备好管理这些设备时,请确保知道设备的预期用途。 此信息有助于在注册设备时做出决策。
有关更具体的信息,请转到平台的注册指南:
- 部署指南:在 Microsoft Intune 中注册 Android 设备
- 部署指南:在部署中注册 iOS 和 iPadOS Microsoft Intune
- 部署指南:在 Microsoft Intune 中注册 macOS 设备
- 部署指南:在 Microsoft Intune 中注册 Windows 设备
向用户和组分配策略
在本地,使用域帐户和本地帐户,然后在 LSDOU) (本地、站点、域或 OU 级别部署这些帐户的组策略和权限。 OU 策略覆盖域策略,域策略覆盖站点策略,等等。
Intune 是基于云的。 在 Intune 中创建的策略包括用于控制设备功能、安全规则等的设置。 这些策略分配给用户和组。 没有像 LSDOU 这样的传统层次结构。
Intune 中的设置目录包括数千个用于管理 iOS/iPadOS、macOS 和 Windows 设备的设置。 如果当前使用本地组策略对象 (GPO) ,则使用设置目录自然而然地过渡到基于云的策略。
有关 Intune 中的策略的详细信息,请转到:
保护用户标识
用户和组帐户访问组织资源。 你需要保护这些标识的安全,并防止恶意访问标识。 以下是应考虑的一些事项:
Windows Hello 企业版 取代用户名和密码登录,是无密码策略的一部分。
密码在设备上输入,然后通过网络传输到服务器。 任何人和任何地方都可以截获和使用它们。 服务器泄露可能会显示存储的凭据。
使用 Windows Hello 企业版,用户可以使用 PIN 或生物识别(如面部和指纹识别)登录并进行身份验证。 此信息存储在本地设备上,不会发送到外部设备或服务器。
将 Windows Hello 企业版部署到环境后,可以使用 Intune 为设备创建 Windows Hello 企业版策略。 这些策略可以配置 PIN 设置、允许生物识别身份验证、使用安全密钥等。
有关详细信息,请转到:
若要管理 Windows Hello 企业版,请使用以下选项之一:
基于证书的身份验证 也是无密码策略的一部分。 可以使用证书通过 VPN、Wi-Fi 连接或电子邮件配置文件对应用程序和组织资源的用户进行身份验证。 使用证书,用户无需输入用户名和密码,并且可以更轻松地访问这些资源。
有关详细信息,请转到 在 Microsoft Intune 中使用证书进行身份验证。
多重身份验证 (MFA) 是一项Microsoft Entra ID 提供的功能。 若要使用户成功进行身份验证,至少需要两种不同的验证方法。 将 MFA 部署到环境后,当设备注册到 Intune 时,还可以要求 MFA。
有关详细信息,请转到:
零信任 验证所有终结点,包括设备和应用。 其思路是帮助保留组织中的组织数据,并防止意外或恶意泄露数据。 它包括不同的功能区域,包括 Windows Hello 企业版、使用 MFA 等。
有关详细信息,请参阅 使用 Microsoft Intune 实现零信任。